جوَّك | تزوير بصمة الوجه وتهديدات الذكاء الاصطناعي للمصادقة البيومترية

في عصر تتزايد فيه الاعتماد على التكنولوجيا الرقمية، برزت تقنيات القياسات الحيوية، وخاصة التعرف على الوجه، كونها حلولًا واعدة للمصادقة الآمنة والسلسة، ومع الإشادة بسهولة استخدامها ودقتها المتزايدة، بدأت هذه التقنيات تحل محل وسائل الأمان التقليدية مثل كلمات المرور، لكن التقدم التكنولوجي لا يأتي بلا تحديات، فمع التطور السريع في مجال الذكاء الاصطناعي، أصبح مجرمو الإنترنت يطورون أساليب جديدة ومقلقة لاستغلال هذه التقنيات الأمنية نفسها.

يستكشف هذا المقال كيف يُستخدم الذكاء الاصطناعي لإنشاء مقاطع فيديو مزيفة قادرة على خداع أنظمة التعرف على الوجه، ويحلل تداعيات ذلك على المستهلكين والشركات، ويُقدم حلولًا لمواجهة هذا التهديد المتطور.

أصبح بإمكان مجرمي الإنترنت الآن سرقة بيانات التعرف على الوجه، واستخدام الذكاء الاصطناعي في إنشاء مقاطع فيديو مزيفة للمصادقة، فما تأثير ذلك في المستهلكين والشركات؟

في الأشهر الأخيرة، أصبحت تقنيات التعرف على الوجه أداةً شائعةً على نحو متزايدٍ للمصادقة الآمنة، وقد أُشيدَ بها لسهولة استخدامها، عندما روَّجت شركات التكنولوجيا العملاقة، مثل آبل، لتقنية Face ID الخاصة بها للمصادقة على الوجه التي لا يمكن خداعها عادةً بالصور الثابتة، وتُشفِّر بيانات وجوه المستخدمين، تضاءلت المخاوف الأمنية على نحو طبيعي لدرجة أن البنوك والقطاع المالي الأوسع نطاقًا أصبحوا يستخدمون أنظمة التعرف على الوجه بصفتها نوعًا من أنواع التفويض.

ومع ذلك، قد يُرسخ هذا «الخبر السار» عن التقدم التكنولوجي صورةً زائفةً عن التعرُّف البيومتري بوصفه أداةٍ مثاليةٍ للمصادقة الآمنة. لا مزيد من كلمات المرور، ولا مزيد من عمليات الاحتيال، ولا أحد يستطيع سرقة صورةٍ ثلاثية الأبعاد لوجهك الطبيعي، أليس كذلك؟

تطور الهجمات السيبرانية مع ظهور التزييف العميق

لا يتوقف الزمن ولا ممارسات الأمن السيبراني؛ لذا إذا كنت تعتقد أن مصادقة الوجه وحدها ستحميك من الاحتيال أو اختراق جهازك، فاقرأ أكثر لفهم حدود الأمان التي تمنحها. في أحدث تقرير التهديدات للنصف الأول من عام 2024، يصف الباحثون كيف يستخدم الخصوم تطبيقات جوال مزيفة لتغيير وجوههم بوجوه ضحاياهم باستخدام خدمات تبديل الوجوه بالذكاء الاصطناعي، ويمكن لمجرمي الإنترنت استخدام هذه الطريقة للوصول غير المصرح به إلى حسابات الضحايا.

إذا كنت تعتقد أن مصادقة الوجه وحدها ستحميك من الاحتيال أو اختراق جهازك فاقرأ أكثر لفهم حدود الأمان التي تمنحها

تكمن أقوى حماية في استخدام مزيج من أساليب الأمان. على سبيل المثال، الاستفادة من مصادقة الوجه مع تقنيات الأمن السيبراني متعددة الطبقات، بما في ذلك المصادقة متعددة العوامل (MFA) المصممة مع مراعاة الوقاية لتجنب الهجمات قبل أن تُلحق أي ضرر.

مصادقة الأمان المفضلة

اكتسبت القياسات الحيوية شعبيةً واسعةً بين المستهلكين والشركات؛ ويعود ذلك أساسًا إلى سهولة استخدامها. في عام 2023، كانت القياسات الحيوية، مثل بصمة الإصبع أو مسح الوجه، أكثر وسائل المصادقة الأمنية تفضيلًا للوصول إلى حسابات المستخدمين الإلكترونية وتطبيقاتهم وأجهزتهم الذكية. وقد استخدم 27% من المشاركين في الاستطلاع من المستهلكين في مختلف البلدان المصادقة الحيوية.

ووجد استطلاع آخر أُجري عام 2023 أن ما يقرب من 60% من المشاركين من بين قادة تكنولوجيا المعلومات والأمن السيبراني في الولايات المتحدة ذكروا القياسات الحيوية عندما سُئلوا عما كانوا يستبدلونه أو يتوقعون استبدال كلمات المرور في مكان العمل به.

يظهر التعرُّف على الوجه -وهو أيضًا جزء من سوق القياسات الحيوية- الطلب العام على هذه التقنية الجديدة. في عام 2022، قُدِّر حجم السوق بنحو 5 مليارات دولار، ومن المتوقع أن ينمو ليصل إلى 19.3 مليار دولار بحلول عام 2032.

منذ طرح شركة آبل تقنية رسم الوجه ثلاثية الأبعاد المعتمدة على الكاميرا والليزر في عام 2017، بدأت شركات كبيرة في السوق مثل سامسونج في النظر في تقنيات جديدة مثل أدوات Metalenz التي يمكنها قراءة الفوتونات المستقطبة وإنشاء صورة لوجه معين أو حتى تسجيل توقيع فيديو قصير للجلد.

فيروس طروادة GoldPickaxe يستهدف المصادقة بالفيديو

في الوقت الحاضر، تتطلب بعض التطبيقات المالية من المستخدمين تسجيل فيديو قصير لوجوههم من زوايا مختلفة باستخدام الكاميرا الأمامية لجهازهم المحمول بوصفه شكلًا من أشكال المصادقة الآمنة. إلا أن ما كان يُقصد به أن يكون طبقة أمان إضافية لمنع سرقة الهوية والأنشطة الاحتيالية أصبح مؤخرًا وسيلة أخرى لشن هجمات على مجرمي الإنترنت.

اكتشفت وحدة استخبارات التهديدات في مجموعة آي بي Group-IB فيروس طروادة غير معروف سابقًا يعمل على نظام iOS

اكتشفت وحدة استخبارات التهديدات في مجموعة آي بي (Group-IB) فيروس طروادة غير معروف سابقًا يعمل على نظام iOS يُدعى GoldPickaxe.iOS، وهو تطبيق مُقلِّد لتطبيقات حكومية تايلاندية شرعية مثل تطبيق Digital Pension for Thailand. تجمع هذه التطبيقات الخبيثة وثائق الهوية والرسائل النصية القصيرة وبيانات التعرف على الوجه. ولضمان أكبر قدر من الاختراق للبيانات الشخصية، يتوفر أحد أعضاء عائلة GoldPickaxe الخبيثة لنظامي iOS وAndroid. ونسبت مجموعة آي بي (Group-IB) هذه الحملة إلى جماعة جرائم إلكترونية ناطقة بالصينية تُدعى GoldFactory.

كيفية استغلال البيانات المسروقة لإنشاء مقاطع فيديو مزيفة

يُوزَّع إصدار GoldPickaxe لنظام أندرويد عبر مواقع إلكترونية تنتحل صفة متجر Google Play الرسمي. ولتوزيع إصدار iOS، يستخدم المُهدِّدون مخططًا هندسيًا اجتماعيًا متعدد المراحل لإقناع الضحايا بتثبيت ملف تعريف لإدارة الأجهزة المحمولة (MDM)؛ ما يُتيح للمهاجمين السيطرة الكاملة على جهاز iOS الخاص بالضحية.

على سبيل المثال، انتحل المهاجمون صفة مسؤولين من وزارة المالية التايلاندية، وتواصلوا مع المواطنين مدَّعين أن أقارب المستخدمين المستهدفين من كبار السن مؤهلون للحصول على معاشات تقاعدية إضافية. ثم أُقنع الضحايا بالنقر على روابط مواقعهم الإلكترونية لتنزيل ملف تعريفي على جهاز إدارة الأجهزة المحمولة.

بهذه الطريقة، يستطيع المهاجمون الوصول إلى بيانات التعرف على الوجه الخاصة بالضحايا دون اختراق تدابير حماية الخصوصية التي توفرها شركة Apple مثل Secure Enclave، وهي بيئة آمنة تعتمد على الأجهزة، ومصممة للحفاظ على بيانات المستخدم الحساسة.

إنشاء مقاطع فيديو مزيفة

بمجرد تثبيت GoldPickaxe، يُطلب من الضحية تسجيل فيديو كطريقة تأكيد في التطبيق المزيف. يُستخدم الفيديو المسجل بعد ذلك كمادة خام لإنشاء مقاطع فيديو مزيفة باستخدام تقنيات الذكاء الاصطناعي لتبديل الوجوه.

لكن هذا ليس كل شيء، فالفيديو المزيف وحده لا يكفي لخداع أنظمة الأمان والمصادقة في البنك. يطلب البرنامج الخبيث أيضًا وثائق هوية الضحية، ويعترض الرسائل النصية، ويعيد توجيه البيانات عبر خادم الوكيل.

تُستخدم الفيديوهات المسجلة مادة خام لإنشاء مقاطع فيديو مزيفة باستخدام تقنيات الذكاء الاصطناعي لتبديل الوجوه

لا يُجري GoldPickaxe معاملات غير مصرح بها مباشرةً من هاتف الضحية، بل يجمع جميع المعلومات اللازمة منه للوصول تلقائيًا إلى تطبيقه المصرفي.

ويفترض باحثو مجموعة آي بي أن مجرمي الإنترنت يستخدمون أجهزتهم الخاصة لتسجيل الدخول إلى الحسابات المصرفية، وهو التكتيك الذي أكدته الشرطة التايلاندية أيضًا.

كيف يحمي الأفراد أنفسهم من هجمات التزييف

بالنظر إلى استخدام مراكز الاتصال، والبرمجيات الخبيثة المتطورة، والذكاء الاصطناعي لإنتاج فيديوهات التزييف العميق، يتضح أن هؤلاء المجرمين الإلكترونيين يبذلون جهدًا كبيرًا في هجماتهم. لكن هذا لا يعني استحالة إيقاف هذه التهديدات، خاصةً مع وجود إجراءات وقائية فعَّالة.

دعونا نبدأ بمبادئ الوعي الأساسية:

حاول دائمًا التحقق من ادعاءات أهلية الحصول على جوائز أو خصومات، أو مكافآت التقاعد، كما في حالة GoldPickaxe. إذا بدا الأمر جيدًا لدرجة يصعب تصديقها، فمن المرجح أنه كذلك.
انتبه إلى المواقع الإلكترونية التي توزع تطبيقات الهاتف المحمول واستخدم متاجر التطبيقات الرسمية فقط.
لا تنخدع بمواقع التصيد الاحتيالي.
هل لاحظتَ نشاطًا مشبوهًا على هاتفك الذكي؟ قم بإجراء فحص أمني باستخدام تطبيق أمان موثوق.
بعد اكتشاف تطبيق ضار، احذفه وأعد تشغيل هاتفك. قد يلزم إعادة ضبط جهاز Android إلى إعدادات المصنع.

مع ذلك، لا أحد بمنأى تمامًا عن التصيد الاحتيالي، حتى متخصصو تكنولوجيا المعلومات قد يقعون ضحيةً له. للحفاظ على أمان جهازك المحمول، تحتاج أيضًا إلى حماية موثوقة للأمن السيبراني.

وتذكَّر أن استخدام طريقة مصادقة متقدمة واحدة، مهما كانت آمنة (حتى داخل نظام iOS، وهو نظام مغلق مزود بميزات أمان مدمجة)، لا يضمن السلامة. فمجرمو الإنترنت مبدعون، ومن المهم وجود أمان متعدد الطبقات في الحالات التي قد يتم فيها التهرب من بعض طبقات الدفاع.

تأثير هجمات التزييف العميق على الشركات وقطاع الأعمال

حتى الآن، اقتصرت هجمات GoldPickaxe على المستهلكين. ومع ذلك، من المحتمل استخدام تهديدات مماثلة، تستغل تقنية التعرف على الوجه مع الذكاء الاصطناعي لاستبدال الوجوه، لاستهداف الإدارات المالية للشركات أو مديري الأعمال.

حتى الآن اقتصرت هجماتGoldPickaxe على المستهلكين لكن قد تُستخدم تهديدات مماثلة لاستهداف الإدارات المالية

وقعت فعلًا هجماتٌ تضمنت مقاطع فيديو مُفبركة لكبار المديرين التنفيذيين؛ ما أدى إلى خسائر مالية فادحة. تُظهر دراسةٌ أجرتها شركة بلاك كلوك ومعهد بونيمون عام 2023 أن كبار المديرين التنفيذيين في الشركات يتعرضون على نحو متزايدٍ لهجماتٍ إلكترونيةٍ مُعقدة، بما في ذلك انتحال الهوية عبر الإنترنت.

حتى مع التدريب الشامل على التوعية السيبرانية، لا يزال هناك احتمال كبير لوقوع الموظفين ضحايا لهجمات متطورة تُعرِّض أجهزة هواتفهم المحمولة الخاصة بشركاتهم للخطر، ما يُمهِّد الطريق لمزيد من الهجمات ضد شركتهم.

أداة أمان واحدة لا تكفي ضد التزييف العميق

يبدو إنشاء مقاطع فيديو مزيفة باستخدام الذكاء الاصطناعي للاحتيال أمرًا مخيفًا (وهناك بالفعل أفلام إثارة تستخدم هذه الفكرة)، لكن هناك أبحاث تُظهر بوضوح أنه حتى هذه الهجمات المعقدة يمكن تجنبها أو إيقافها بواسطة حلول الأمن السيبراني المناسبة.

دعونا نجعل هذه الحالة تذكيرًا بأن أي تقنية ليست هي الحل النهائي لكل شيء، وأن الأمن السيبراني الموثوق به يتكون من دفاع متعدد الطبقات مقترنًا بنهج الوقاية أولًا.

ختامًا، إن التطور المتسارع في تقنيات الذكاء الاصطناعي والتعرف على الوجه يفتح آفاقًا واعدة، ولكنه في الوقت ذاته يخلق تحديات أمنية جديدة تتطلب يقظة مستمرة، فكما كشف حصان طروادة GoldPickaxe، لم تعد بياناتنا البيومترية حصينة، ويستطيع مجرمو الإنترنت تحويلها إلى أدوات للاحتيال، الحل لا يكمن في التخلي عن هذه التقنيات، بل في تعزيز دفاعاتنا بالأمن السيبراني متعدد الطبقات، ورفع مستوى الوعي بالمخاطر، وتبني نهج استباقي للوقاية، لضمان حماية فعالة للمستهلكين والشركات في مواجهة هذا المشهد المتغير للتهديدات الرقمية.

ملاحظة: المقالات والمشاركات والتعليقات المنشورة بأسماء أصحابها أو بأسماء مستعارة لا تمثل الرأي الرسمي لجوَّك بل تمثل وجهة نظر كاتبها ونحن لا نتحمل أي مسؤولية أو ضرر بسبب هذا المحتوى.